概述

  瑞星威胁情报平台近期捕获到一起针对韩国用户的攻击事件。攻击者通过钓鱼邮件定向投递快捷方式文件作为初始攻击武器，并利用双扩展名技术将其伪装成合法文档（如HWP、XLS、Docx等）。其中，HWP是韩国特有的办公文件格式，在政企机构中尤为常见。与以往使用定制化PE后门不同，此次攻击采用混淆的轻量化脚本作为后门工具，实现文件下载、上传等功能，并通过Dropbox、Google Drive等公共服务投递恶意载荷及进行C2通信。通过对本次捕获到的多个恶意样本进行分析，发现部分样本的最早创建时间可追溯至2021年，表明攻击具有长期潜伏的特点。这些手法与APT37组织高度吻合，体现出针对性强、持续时间长、隐蔽性高等特征。

  APT37是一个活跃于朝鲜半岛的网络威胁组织，又名Konni、ScarCruft、Group123、TEMP.Reaper等。其目标包括俄罗斯、韩国以及周边国家地区，以窃取敏感信息为主，涉及航空航天、汽车、化工、金融、政府、医疗保健、制造和运输等领域。该组织的攻击活动最早可追溯到2012年，该组织习惯于使用脚本作为攻击武器，在近年来活动频繁，被数个国内外安全团队持续追踪和披露。